|
Log-Analyse und Auswertung: ConHook VirusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.12.2008, 10:02 | #1 |
Gesperrt | ConHook Virus Hallo liebe Trojaner Board Gemeinde. In letzter Zeit sind viele Virus meldungen von einen Trojaner ConHook Virus aufgetaucht die sich nicht löschen lassen weil sie immer wieder auftauchen. (Gestern ist er alle 2 Sec. aufgetaucht bei Antivir heute nur 1 mal) Dazu kommt auch noch das sich im Firefox wie im Internet Explorer die verschiedensten Seiten kommen. Zb. Solche Antivirus download Meldungen. Ich habe das Logfile mal im Internet überprüfen lassen und anscheinend hab ich auch irgend so einen Prorat Virus? Der immer wieder kommt ? Habe Windows XP Service Pack 2 (Ich weiß ich war so ,,klug" und habs noch nicht auf 3 gemacht) Als Browser benutze ich Firefox 3. Ich benutze Antivir Personal Free Version Hoffe ihr könnt mir noch helfen Hier mein Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:54:34, on 31.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\IRReceive\IRReceive.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Firefox 3\firefox.exe C:\Programme\Steam\Steam.exe C:\WINDOWS\system32\prunnet.exe C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe L:\WZQKPICK.EXE C:\WINDOWS\System32\svchost.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://search.aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file) O3 - Toolbar: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - (no file) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Alte Daten\SnagItIEAddin.dll (file missing) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_15_Download-Version\TrayServer.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0" O4 - HKLM\..\Run: [IRReceive] C:\Programme\IRReceive\IRReceive.exe O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "L:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [e4a0f81d] rundll32.exe "C:\WINDOWS\system32\rpvawdqh.dll",b O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gadcom\gadcom.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = L:\WZQKPICK.EXE O8 - Extra context menu item: Compare Prices with &Dealio - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dealio\kb127\res\DealioSearch.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: jytooa.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 10117 bytes PS: Ken mich nicht so gut aus mit Viren Geändert von Chrisjee (31.12.2008 um 10:22 Uhr) |
31.12.2008, 10:33 | #2 |
| ConHook Virus1. --> Installiere bitte sofort das Service Pack 3! 2. --> Lade mal folgende Datei bei Virustotal hoch Code:
ATTFilter C:\Programme\IRReceive\IRReceive.exe O4 - HKCU\..\Run: [gadcom] "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gadcom \gadcom.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310 Code:
ATTFilter F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" Code:
ATTFilter Systemsteuerung --> Programme de/installieren 5. --> Autostart kontrollieren Code:
ATTFilter Start --> Ausführen --> msconfig --> Systemstart 6. --> Malware's Bytes Anti-Malware installieren und den Scan Log hier reinstellen. Gruß DeeWayne |
31.12.2008, 10:36 | #3 | ||
/// Helfer-Team | ConHook Virus Hallo Chrisjee und
__________________Alle Punkte nach der Reihe ausführen: 1.) Bitte das noch nachholen: Windows XP Service Pack 2 ......... Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems.(siehe meine Signatur)! 2.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen: Zitat:
Zitat:
__________________ |
31.12.2008, 10:42 | #4 |
Gesperrt | ConHook Virus Vielen Dank für die schnelle Antwort Werde alles durchführen und dan sagen obs geklappt hat Nochmal vielen, vielen Dank |
31.12.2008, 11:13 | #5 |
Gesperrt | ConHook Virus Es kommt immer der Fehler beim Installieren des Services Packs 3: Die zum Starten des Computers verwendete Systemdatei (Kernel) ist keine Microsoft Windows-Datei. Das Service Pack wird nicht installiert. Weitere Informationen finden sie in der Knowledge Base,Artikel Q327101 unter h**p://support.microsoft.com. Was soll das heißen ich habe die Origainall Windows XP CD von einem Geschäft.Warum funktioiert das dan nicht? Virus Total: IRReceive.exe: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2008.12.31 - AhnLab-V3 2008.12.31.0 2008.12.31 - AntiVir 7.9.0.45 2008.12.31 - Authentium 5.1.0.4 2008.12.30 - Avast 4.8.1281.0 2008.12.30 - AVG 8.0.0.199 2008.12.30 - BitDefender 7.2 2008.12.31 - CAT-QuickHeal 10.00 2008.12.31 - ClamAV 0.94.1 2008.12.31 - Comodo 851 2008.12.31 - DrWeb 4.44.0.09170 2008.12.31 - eSafe 7.0.17.0 2008.12.30 - eTrust-Vet 31.6.6284 2008.12.31 - Ewido 4.0 2008.12.30 - F-Prot 4.4.4.56 2008.12.30 - F-Secure 8.0.14470.0 2008.12.31 - Fortinet 3.117.0.0 2008.12.31 - GData 19 2008.12.31 - Ikarus T3.1.1.45.0 2008.12.31 - K7AntiVirus 7.10.571 2008.12.30 - Kaspersky 7.0.0.125 2008.12.31 - McAfee 5479 2008.12.30 - McAfee+Artemis 5479 2008.12.30 - Microsoft 1.4205 2008.12.31 - NOD32 3725 2008.12.31 - Norman 5.80.02 2008.12.30 - Panda 9.0.0.4 2008.12.31 - PCTools 4.4.2.0 2008.12.30 - Prevx1 V2 2008.12.31 - Rising 21.10.22.00 2008.12.31 - SecureWeb-Gateway 6.7.6 2008.12.31 - Sophos 4.37.0 2008.12.31 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2008.12.31 - TheHacker 6.3.1.4.202 2008.12.30 - TrendMicro 8.700.0.1004 2008.12.31 - VBA32 3.12.8.10 2008.12.30 - ViRobot 2008.12.30.1540 2008.12.31 - VirusBuster 4.5.11.0 2008.12.30 - rpvawdqh.dll: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2008.12.31 - AhnLab-V3 2008.12.31.0 2008.12.31 - AntiVir 7.9.0.45 2008.12.31 HEUR/Crypted Authentium 5.1.0.4 2008.12.30 - Avast 4.8.1281.0 2008.12.30 - AVG 8.0.0.199 2008.12.30 - BitDefender 7.2 2008.12.31 - CAT-QuickHeal 10.00 2008.12.31 - ClamAV 0.94.1 2008.12.31 - Comodo 851 2008.12.31 - DrWeb 4.44.0.09170 2008.12.31 - eSafe 7.0.17.0 2008.12.30 Suspicious File eTrust-Vet 31.6.6284 2008.12.31 Win32/VundoCryptorAA!generic Ewido 4.0 2008.12.31 - F-Prot 4.4.4.56 2008.12.30 - F-Secure 8.0.14470.0 2008.12.31 - Fortinet 3.117.0.0 2008.12.31 - GData 19 2008.12.31 - Ikarus T3.1.1.45.0 2008.12.31 - K7AntiVirus 7.10.571 2008.12.30 - Kaspersky 7.0.0.125 2008.12.31 - McAfee 5479 2008.12.30 - McAfee+Artemis 5479 2008.12.30 - Microsoft 1.4205 2008.12.31 Trojan:Win32/Vundo.gen!Y NOD32 3725 2008.12.31 - Norman 5.80.02 2008.12.30 - Panda 9.0.0.4 2008.12.31 - PCTools 4.4.2.0 2008.12.30 - Prevx1 V2 2008.12.31 - Rising 21.10.22.00 2008.12.31 - SecureWeb-Gateway 6.7.6 2008.12.31 Heuristic.Crypted Sophos 4.37.0 2008.12.31 Troj/Virtum-Gen Sunbelt 3.2.1809.2 2008.12.22 VIPRE.Suspicious Symantec 10 2008.12.31 - TheHacker 6.3.1.4.202 2008.12.30 - TrendMicro 8.700.0.1004 2008.12.31 - VBA32 3.12.8.10 2008.12.30 - ViRobot 2008.12.30.1540 2008.12.31 - VirusBuster 4.5.11.0 2008.12.30 - Geändert von Chrisjee (31.12.2008 um 11:26 Uhr) |
31.12.2008, 11:25 | #6 |
/// Helfer-Team | ConHook Virus Hallo Chrisjee, Ok, dann lass diesen Punkt aus, und fahre mit den anderen Fort! LG Crusader
__________________ --> ConHook Virus |
31.12.2008, 11:25 | #7 |
| ConHook Virus Erstmal der Haken bei Code:
ATTFilter Geschützte Systemdaten ausblenden Dann geh wie folgt vor! Code:
ATTFilter Das Problem liegt an einer modifizierten Version der Datei "Ntoskrnl.exe", welche die Befehlszeilenoption "/KERNEL" in der Datei "Boot.ini" verwendet. Dies passiert zum Beispiel beim Einsatz von Programmen wie BootXP oder LogonUI Boot Randomizer. Da sich die Ntoskrnl.exe nicht einfach überschreiben lässt, lautet die Lösung: Erst einmal muss eine Original-Ntoskrnl.exe vorhanden sein: entweder von der Installations-CD extrahieren oder beim SP die aus dem Ordner "WINDOWS\ServicePackFiles\i386" nehmen. Die "Ntoskrnl.exe" in ein beliebiges Verzeichnis kopieren. Dann die Ntoskrnl.exe umbenennen in Ntoskrnl.ex und danach ins Verzeichnis C:\WINDOWS\system32 kopieren. Windows im abgesicherten Modus [F8] starten und die aktuelle Ntoskrnl.exe in Ntoskrnl.xe, sowie die Ntoskrnl.ex in Ntoskrnl.exe umbenennen. Rechner neu starten und auf SP3 updaten. |
31.12.2008, 11:31 | #8 |
Gesperrt | ConHook Virus shdocvw.dll : Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.3 2008.12.19 - AntiVir 7.9.0.45 2008.12.19 - Authentium 5.1.0.4 2008.12.18 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.19 - BitDefender 7.2 2008.12.19 - CAT-QuickHeal 10.00 2008.12.19 - ClamAV 0.94.1 2008.12.19 - Comodo 781 2008.12.19 - DrWeb 4.44.0.09170 2008.12.19 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6268 2008.12.18 - Ewido 4.0 2008.12.19 - F-Prot 4.4.4.56 2008.12.18 - F-Secure 8.0.14332.0 2008.12.19 - Fortinet 3.117.0.0 2008.12.19 - GData 19 2008.12.19 - Ikarus T3.1.1.45.0 2008.12.19 - K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.19 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.19 - NOD32 3705 2008.12.19 - Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.19 - PCTools 4.4.2.0 2008.12.19 - Prevx1 V2 2008.12.19 - Rising 21.08.42.00 2008.12.19 - SecureWeb-Gateway 6.7.6 2008.12.19 - Sophos 4.37.0 2008.12.19 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.19 - TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.19 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.19.1527 2008.12.19 - VirusBuster 4.5.11.0 2008.12.18 - |
31.12.2008, 16:09 | #9 |
Gesperrt | ConHook Virus Ok habe Anti-Malware durchfahren lassen bin aber gerade nicht daheim werde es dan hier rein posten. Ist es normal das sich nach den durchscannen der Pc ausschaltet? Er hatte 89 infiszierte Dateien die ich dan gelöscht habe, aber dazu mehr wen ich wieder daheim bin und hier das Logfile gepostet habe |
31.12.2008, 16:50 | #10 |
Administrator > Competence Manager | ConHook Virus @chrisjee Bei dir ist "Hopfen & Malz" verloren da sich auf deinem System nicht nur Spyware ausgebreitet hat sondern auch (mindestens!) ein Trojaner mit Backdoorfunktion! Entweder hast du mal selbst mit einem RAT (Prorat oder Optix)gespielt, oder aber du wurdest von jemandem infiziert. Code:
ATTFilter F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" Die einzige richtige und sicherste Methode diesen Befall wieder zu entfernen besteht in einer Neuinstallation deines Betriebssystems! @DeeWayne Änderungen an Systemprozessen, sei es ander Registrierung oder am Dateisystem, sind immer mit Vorsicht zu genießen! Eine Änderung der ntoskrnl könnte beispielsweise einen Komplettabsturz zur Folge haben und das System gar nicht mehr booten lassen. Und wer sich dann mit den weiteren Verläufen zur Beseitigung nicht auskennt sollte auch diese "gut gemeinten" Ratschläge unterlassen. Danke. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
31.12.2008, 17:00 | #11 | |
| ConHook VirusZitat:
Ich bin selber in einigen guten PC Foren angemeldet und diese Anleitung hatte bei jedem schon funktioniert. Es muss immer nach der Anleitung vorgegangen werden. Wenn man sie nicht beachtet oder etwas vergisst hafte ich nicht sondern der der es nutzt. Darauf weiße ich normalerweise auch hin Viele Grüße. DeeWayne |
31.12.2008, 17:11 | #12 | ||
Administrator > Competence Manager | ConHook VirusZitat:
Ohne einen Beweis dafür wäre eine "Manipulation" bzw. Änderung durch ersetzen einer neuen Datei ohne Sinn und Verstand. Mal ganz abgesehen von den Backdoorprogrammen auf dem System. Zitat:
Weniger ist manchmal mehr und verschlimmert die Situtation des Hilfesuchenden nicht noch mehr. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
31.12.2008, 19:33 | #13 |
Gesperrt | ConHook Virus Das mit dem ProRat hat sich geklärt. Mein Bruder hat auf meinen Pc damit rumgespielt weil er es für seinen zu gefährlich hielt. Doch werd ich wascheinlich den Pc trodztem neuinstallieren um sicher zugehen das alles weg ist Das gute ist das sich tatsächlich keine Internet Seiten mehr öffnen, Firefox sowie Internet Explorer. Werd jetzt nochmal Malware und AntiVir durchfahren lassen und gucken Geändert von Chrisjee (31.12.2008 um 19:39 Uhr) |
01.01.2009, 12:26 | #14 |
Gesperrt | ConHook Virus Ok hab heute nochmal Anti-Malware durchfahren lassen und hatte nix gefunden hier mein Log: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1582 Windows 5.1.2600 Service Pack 2 01.01.2009 12:23:18 mbam-log-2009-01-01 (12-23-18).txt Scan-Methode: Vollständiger Scan (C:\|D:\|K:\|L:\|) Durchsuchte Objekte: 311122 Laufzeit: 1 hour(s), 35 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und es kommen auch keine Meldungen mehr bei Anti-Vir,der Pc ist wieder so schnell wie vorher und es kommen auch keine Seiten mehr. Nochmal danke für eure Hilfe :aplaus: |
01.01.2009, 17:13 | #15 |
Gesperrt | ConHook Virus Hier nochmal mein HijackThis Logfile Hab nix mehr gefunden und bei der Seite HijackThis Logfileauswertung hab ich auch noch mal nachgeschauen und das was er nicht kannte bei Virustotal nachgesehen. Habe keinen Trojaner ect. mehr gefunden Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:08:31, on 01.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\IRReceive\IRReceive.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe L:\WZQKPICK.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Firefox 3\firefox.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe L:\World of Warcraft\WoWStarter(2).exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_15_Download-Version\TrayServer.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0" O4 - HKLM\..\Run: [IRReceive] C:\Programme\IRReceive\IRReceive.exe O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [ZoneAlarm Client] "L:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = L:\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: jytooa.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8809 bytes Fals ihr nicht noch was findet sag ich und vertig. |
Themen zu ConHook Virus |
antivir, antivirus, avg, avira, bonjour, browser, compare, computer, dealio, einstellungen, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, magix, menu.exe, pop-up-blocker, rundll, senden, software, system, trojaner, trojaner board, tuneup.defrag, viren, virus, windows, windows xp |